Preste sempre atenção na hora de digitar sua senha. Qualquer uma.
Esta semana, um pesquisador da República Tcheca, chamado Jan Soucek, divulgou uma maneira de roubar senhas do iCloud de usuários distraídos. Alguns sites alegaram ser uma falha de segurança do iOS, pelo fato do aplicativo nativo Mail não possuir nenhum filtro para tags HTML específicas.
O Blog do iPhone testou o truque e conseguiu entender como ele funciona.
Os usuários mais atentos conseguirão perceber facilmente o golpe. Infelizmente, sabemos que é muito grande o número de usuários distraídos que podem ser enganados, fornecendo seus dados pessoais.
O truque consiste em enviar um email para a vítima, com um código HTML que simula visualmente uma janelinha do sistema, que pede a senha do iCloud. Ao abrir o email, a janela (estilo modal) aparece, como na imagem abaixo.
Ela é muito parecida com a original, a não ser por não acompanhar o mesmo idioma do sistema (na imagem você pode ver a janela em inglês no sistema em português). Além disso, se você fizer um scroll na página, a janela vai junto, e isso acontece também quando o teclado aparece ao tentar digitar a senha.
Repare abaixo a diferença visual entre um aviso verdadeiro e um falso.
O objetivo do golpe é fazer com que o usuário introduza a senha real do iCloud, que é enviada para um servidor e poderá ser reutilizada pelo golpista.
Ao tentar tocar no botão Cancel, nada acontece, o que também não é normal. A janela está claramente dentro do email, e se você sair dele, a imagem desaparece. Avisos reais do sistema só desaparecem quando você responde a ele. Ou seja, na nossa opinião, não é difícil perceber o embuste.
Usuários mais atentos evitam digitar sua senha sem que haja uma razão para isso. Se você não estiver baixando um aplicativo ou fazendo alguma coisa específica que exija sua senha, procure cancelar este tipo de pedido até entender qual o objetivo.
A princípio, achávamos que a denominação “falha de segurança” era exagerada, mas fizemos testes em outros aplicativos de email (como o Spark ou o Inbox) e a mensagem comprometida não mostrou nenhuma janela, confirmando que o problema pode ser mesmo no aplicativo nativo, que é o mais usado pelos usuários (visto que a Apple não permite configurar outros apps como padrão do sistema). No Mail do OS X o problema também se repete.
O pesquisador tcheco já pediu em janeiro para que a Apple consertasse a falha, mas até hoje ela continua existindo. Por esta razão, ele resolveu divulgá-la ao mundo, na tentativa da empresa tomar alguma providência.
Para quem tem a verificação em dois passos ativada em sua conta, não há como invadir o iCloud apenas com a senha. Por isso, aconselhamos a todos utilizarem este recurso de segurança oferecido pela Apple. E enquanto a brecha não for consertada, preste sempre atenção toda vez que digitar sua senha, para ter certeza que você saiba exatamente a razão do sistema a estar pedindo.